web-dev-qa-db-fra.com

Comment bloquer efficacement les torrents sur mon réseau?

Conformément à la politique du réseau, nous devons bloquer tout le trafic torrent du réseau. Pour ce faire, j'avais l'habitude de bloquer tous les ports au-dessus de 1024 sur mon pare-feu/périphériques proxy. Mais pour cette raison, de nombreuses autres applications qui utilisent des ports non standard ne peuvent pas fonctionner, en particulier les applications mobiles, et les utilisateurs se plaignent à cause de cela.

Existe-t-il un moyen efficace de bloquer les torrents sur mon réseau?
Un nombre minimum de ports, ou quelques ports spécifiques, ou un filtrage au niveau de l'application?

Nous avons Cisco Iron Port Security et Cisco ASA 5500 Firewall appareils.

4
Adi

Vous avez plusieurs façons de restreindre les torrents:

  • Blocage des ports: cela ne fonctionne pas, car le trafic p2p peut utiliser à peu près n'importe quel port (même ceux en dessous de 1024)
  • Inspection approfondie: examiner le trafic et le blocage en fonction du type peut vous aider beaucoup, mais le trafic crypté se ressemble
  • Filtrage des destinations: cela peut aussi aider un peu, mais vous devrez maintenir une grande liste noire
  • Volume: si un utilisateur télécharge/télécharge de grandes quantités de trafic, étudiez

  • Contrôle des applications installées sur les ordinateurs de votre réseau via une stratégie de groupe ou une stratégie réelle. Interdisez toutes les applications p2p, et si quelqu'un enfreint la politique, ne les laissez pas utiliser le réseau/les déclencher/les affiner/quoi que ce soit

16
Rory Alsop

BitTorrent peut fonctionner sur n'importe quel port et peut être intégré à SSL, donc le blocage par les ports ou les données de trafic ne vous mènera nulle part.

Ma suggestion serait de bloquer le trafic HTTP sur tout port qui correspond au protocole d'annonce du tracker, conformément à la spécification . Cela ne fonctionnera pas si le tracker fonctionne sur HTTPS, mais la plupart ne le font pas. Cela n'empêchera pas non plus la DHT de fonctionner, mais il est peu probable que cela ait trop d'importance.

En outre, vous pouvez surveiller le trafic pour voir si de grandes quantités de données sont transférées à un seul utilisateur et prendre des mesures en fonction de cela.

À mon avis, ce n'est pas un problème technique - c'est un problème de politique. Faites en sorte que tous vos utilisateurs signent une politique d'utilisation qui interdit explicitement l'utilisation des réseaux et des systèmes de partage de fichiers, y compris BitTorrent, et assurez-vous que des sanctions appropriées peuvent être appliquées en cas de violation de cette politique.

7
Polynomial

De mon point de vue, seule l'inspection approfondie des paquets, y compris le trafic SSL/TLS, fonctionnera.

La pratique courante est d'avoir un serveur proxy dans le réseau interne (avec l'inspection SSL) pour permettre aux utilisateurs d'accéder à Internet (et de bloquer tous les sites/services indésirables) puis de bloquer tout le trafic sortant de ces utilisateurs directement vers Internet. Si vous devez autoriser les utilisateurs à accéder à des serveurs spécifiques sur des ports non standard, vous devez les autoriser explicitement (IP, protocole, port/service).

À quel type de services non standard les utilisateurs accèdent-ils à partir de votre réseau?

0
Fis